Context Hub: Administrar el mapeo de tipos de metadatos y claves de metadatos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para que un administrador administre el mapeo de tipos de metadatos de Context Hub con claves de metadatos de Investigation.

El servicio Context Hub proporciona búsqueda de contexto para valores de metadatos en las vistas de Investigation. Estos valores de metadatos se agrupan en tipos de metadatos según la categoría a la cual pertenecen. Por ejemplo, las claves de metadatos de Security Analytics Investigación, como ip.src y ip.dst, se agrupan en el tipo de metadatos IP en Context Hub. A la vez, el tipo de metadatos IP se mapea a metadatos como alert.events.source.device.ip_address y alert.events.destination.device.ip_address en la base de datos de Incident Management.

En Administration > Sistema > vista Investigation, la pestaña Búsqueda de contexto permite al administrador configurar el mapeo de claves de metadatos y tipos de metadatos de Investigation. El administrador puede agregar claves de metadatos de Investigation a la lista de tipos de metadatos compatibles con Context Hub o quitarlas de ella. 

El servicio Context Hub está preconfigurado con un mapeo predeterminado de tipos de metadatos y claves de metadatos, el cual debería funcionar en la mayoría de las implementaciones, a menos que se creen algunos mapeos personalizados para su implementación específica. 

Nota: No puede agregar un tipo de metadatos nuevo.

A continuación se muestra el mapeo predeterminado:

                                       
Nombre de tipo de metadatosClaves de metadatos
IPdevice.ip, ip.src, ip.dst, paddr, ip.addr, alias.ip
USERuser.src, user.dst, username
DOMAINdomain.src, domain.dst
MAC_ADDRESSeth.dst, eth.src, alias.mac
FILE_NAMEfilename, sourcefile
FILE_HASHchecksum
HOSTdevice.host, alias.host

Procedimiento

Para administrar el mapeo de claves de metadatos de Investigation:

  1. En el menú de Security Analytics, seleccione Administration > Sistema.
  2. En el panel de opciones, seleccione Investigation.

    Se muestra el panel Configuración de Investigation.

  3. Seleccione la pestaña Búsqueda de contexto.

    meta-key-mapping.png

  4. Seleccione un tipo de metadatos para ver las claves de metadatos predeterminadas que están mapeadas con este tipo de metadatos.
  5. Para agregar una clave de metadatos, haga clic enic-add.pnge ingrese la clave de metadatos.
  6. Para eliminar una clave de metadatos, seleccione la clave de metadatos y haga clic enic-delete.png.
  7. Para guardar los cambios, haga clic en Aplicar.

En caso de que se agregue una clave de metadatos nueva, la opción de menú Búsqueda de contexto se habilita para los valores de metadatos bajo esa clave de metadatos en las vistas de Investigation.

Para obtener más información sobre el panel Configuración de Investigation, consulte el tema Panel Configuración de Investigation de la Guía de configuración del sistema.

You are here
Table of Contents > Procedimientos adicionales > Administrar el mapeo de tipos de metadatos y claves de metadatos

Attachments

    Outcomes